VPN Server Verbindungsproblem

[Jester84]

Hallo,

wie der Tiel schon sagt habe ich ein Problem mich mit meinem aufgesetzten VPN Server zu verbinden.
Irgendwie habe ich das Gefühl es hat etwas mit meiner Firewall zu tun, die sollte aber nach nem Howto eigentlich
passend eingerichtet sein...
Die Verbindung habe ich über den normalen VPN Installtionsassitenten von Winxp versucht herzustellen,
Fehlermeldung "Fehler 800: Die Vpn Verbindung kann nich hergestellt werden..."

Hier mal die Auszüge der Firewall bezüglich des Vpns:

Code: Alles auswählen

# PPTP (VPN) von ueberall zur Firewall erlauben
          # PPTP Control Port
             $IPTABLES -A INPUT -p tcp --dport 1723 -j ACCEPT

          # GRE Protokoll
             $IPTABLES -A INPUT -p 47 -j ACCEPT
    
          # DNS von VPN Clients zur Firewall erlauben
             $IPTABLES -A INPUT -s $VPN -p udp --dport 53 -j ACCEPT

          # Zugriff von VPN Clients ins LAN erlauben
             $IPTABLES -A FORWARD -s $VPN -d $LAN -j ACCEPT

[daFreak]

Hi Jester84,

Welches VPN betreibst du? Kannst du den Link zu dem Howto posten?

[Jester84]

Hallo,

der Link wird schwer zu posten sein, kann dir aber gerne benötigte Details und den Howto ablauf schreiben.
Es ist das Howto aus der ct Special Linux vom Dezember.
Welches Vpn es ist, schwer zu sagen, eigentlich kenne ich nur Openvpn aber das ist es nicht.
Die Einrichtung war über die Installation von apt-get install pptpd möglich geworden.

1. pptpd.conf
Eintragen von "localip" "remoteip"
2. pptpd-options
Vebindungsnamen "pptdp" geben
"ms-dns" IP DNS Server eintragen
3. chap-secrets
Benutzer, Verbindungsnamen, Passwort, IP eintragen

Joah das wars im schnnelldurchlauf...

[guddl]

moin,

kannst du den VPN server anpingen? was sagt ein "telnet <vpnserver-ip> 1723"?
fehler 800 bedeutet das der server nicht erreichbar ist.
hier die erklärungen zu den error-codes von windows => http://tinyurl.com/2refkl

gruss
guddl

[Jester84]

Hallo erstmal und danke für deinen Post.
Der Server ist von außen erreichbar, per Ping, ssh und web.
Telnet auf dem Port funktioniert nich, hätte mich auch gewundert
Habe mitlerweile mal die Verschlüsselung auf Client Seite von automatisch auf
PPTP-VPN geändert, leider keine Änderung nur das jetzt der Fehler 678 kommt,
von der Beudetung her aber das selbe...

[guddl]

wenn ein telnet vom client auf den server nicht funktioniert,
dann kann doch auch keine vpn verbindung zustande kommen.

ein telnet sollte so etwas ergeben

Code: Alles auswählen

client-pc# telnet 192.168.0.1  1723
Trying 192.168.0.1...
Connected to 192.168.0.1.
Escape character is '^]'.

gruss
guddl

[Jester84]

Oh ok, also vom internen Lan aus das Telnet aufmachen?
Bin gerade dabei von außerhalb darauf zuzugreifen
Werde es gleich nochmal testen

[Jester84]

Du meintest sicher doch die Verbindung von außen auf den Server?
hab ich dich falsch interpretiert, sorry.
Also beim Telnet versuch kommt die Rückmeldung:

C:\>telnet xyzserver.dyndns.org 1723
Verbindungsaufbau zu xyzserver.dyndns.org...Es konnte keine Verbindung mit de
m Host hergestellt werden, auf Port 1723: Verbinden fehlgeschlagen

Soweit ich nun weiß sollte aber das mindestens funktionieren für den PPTP Verbindung, richtig?
Mhh wie gesagt ich schätze es liegt irgendwie an der Firewall aber ich finde den Fehler nicht :/

Grüße
Jester

[guddl]

telnet muss funktionieren - egal ob von innen oder aussen.

wenn du es von innen testen kannst, probiers erstmal von innen.

haengt dein vpn server hinter einem dsl-router ?!?! dann musst du auf dem dsl-router port-forwarding einstellen.

[Jester84]

Mein VPN Server ist auch gleichzeitig mein Router
Habe aber eben etwas interessantes in den Logfiles gefunden was
wohl doch eher für die Firewall spricht, oder wie siehst du es?

Jan 12 14:53:36 AServer kernel: INPUT Paket verworfen: IN=ppp0 OUT= MAC= SRC=88.68.100.50 DST=79.199.xx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=46655 DF PROTO=TCP SPT=10737 DPT=1732 WINDOW=16384 RES=0x00 SYN URGP=0

Von innerhalb den Lans wird es wahrscheinlich gehen weil dort keine großen Regelungen der Firewall
groß agieren. Aber testen kann ich es erst gegen 16.00.

Grüße
Jester

[guddl]

na dann los - freischalten

[Jester84]

Code: Alles auswählen

# PPTP (VPN) von ueberall zur Firewall erlauben
          # PPTP Control Port
             $IPTABLES -A INPUT -p tcp --dport 1723 -j ACCEPT

          # GRE Protokoll
             $IPTABLES -A INPUT -p 47 -j ACCEPT
    
          # DNS von VPN Clients zur Firewall erlauben
             $IPTABLES -A INPUT -s $VPN -p udp --dport 53 -j ACCEPT

          # Zugriff von VPN Clients ins LAN erlauben
             $IPTABLES -A FORWARD -s $VPN -d $LAN -j ACCEPT

Aber es ist doch freigeschaltet, zumindest sagen das die Regeln meiner Firewall?!
"$IPTABLES -A INPUT -p tcp --dport 1723 -j ACCEPT"
Speziell dies hier schaltet doch den Port frei?

[Danielx]

Aber es ist doch freigeschaltet, zumindest sagen das die Regeln meiner Firewall?!

Das kann man so nicht sagen, da du offensichtlich nur einen Teil der Firewall gepostet hast.
Wenn schon vor dieser Regel eine Regel auf das Paket zutrifft, welche dieses Paket verwirft, dann kommt das Paket gar nicht erst bis zu deiner "$IPTABLES -A INPUT -p tcp --dport 1723 -j ACCEPT" - Regel!

Gruß,
Daniel

[Jester84]

Sag doch gleich das du gerne die ganze Firewall sehen würdest
Da das ganze wie gesagt aus einem Howto stammt, sollte eigentlich nichts verkehrt sein,
aber das es nicht funktioniert wohl doch
Hier mal die gesamte FW:

--- rausgenommen---

Viele Grüße
Jester

[Danielx]

Du hast einen Zahlendreher!

--dport 1723 (aus der Firewall-Regel)
DPT=1732 (aus der Log-Datei)

Gruß,
Daniel

[Jester84]

Mhh ok, da war wohl ein Zahlendreher drin von mir,
Wenn ich jetzt ein telnet auf den Server mache auf Port 1723 passiert leider auch nichts,
selbes Ergebnis... nur das er es nicht mitloggt?

So nun auch aus dem internen Lan getestet,
funktioniert auch kein Telnet auf den Server?!
Irgenwelche Dienste die nicht tun und die man mal überprüfen sollte?

[guddl]

was sagt denn "/var/log/messages" wenn du den pptpd server startest?

oder mal folgenden befehl ausfuehren:

Code: Alles auswählen

 
 lsof -i -n 

da sollte dann sowas aehnliches rauskommen

Code: Alles auswählen

COMMAND     PID USER   FD   TYPE   DEVICE SIZE NODE NAME
...
pptpd     28199 root    5u  IPv4 14969773       TCP 192.168.0.1:1723 (LISTEN)
...

wenn da kein pptpd (so wie im beispiel oben) auftaucht - laeuft dein vpn server nicht richtig.

gruss
guddl

[Jester84]

In den logfiles taucht bei einem Neustart von pptpd folgende Meldung auf:
02:24 xyzServer pptpd[17913]: MGR: Bad IP address (192.168.122.1-4^M) in config file!

Beim Aufrufen von lsof -i -n
kann ich leider keinen Prozess finden der mit pptpd beginnt.

Viele Grüße
Jester

[Jester84]

Habe das Config File mal eben ein bisschen angepasst auf:

localip 192.168.122.5
remoteip 192.168.122.1

Was ich nicht ganz verstehe, mein Server hat ja die IP 192.168.123.5
wieso wird dann hier die IP im Bereich der VPN Client mit angeben?
War in dem Howto so gelöst, das dort wie bei mir dann 192.168.122.5 steht?
Hat das so seine Richtigkeit?

Nach der Anpassung kommt die Meldung:
Jan 12 21:20:38 A380 pptpd[18051]: MGR: PPP options file /etc/ppp/pptpd-options^M not readable

[guddl]

warum hast du da immer ^M am ende einer zeile - hast du das file mal unter windows bearbeitet?

mach die mal weg. und dann guck ob das file /etc/ppp/pptpd-options da ist und von lesbar ist.

[Jester84]

Habe das ganze mit Ultra Edit unter Windoof bearbeitet, ja :/
Wie bekomme ich das falsche Format wieder weg?
Bzw an welcher Stelle ist das Problem?
Bin eben alles durchgegangen aus dem File, soweit ok,
also kein Zeichen zuviel irgendwo hintendran?!

[guddl]

unter windows siehst du die zeichen nicht.

windows macht am ende einer zeile ein carriage return und ein line feed (http://de.wikipedia.org/wiki/Zeilenvorschub)

unix macht nur ein line feed.

du musst die datei wieder umwandeln ins unix/linux format.
ich weiss nicht ob man bei ultra-edit einen unix mode einschalten kann?!?!

das programm zum umwandeln heisst dos2unix (gibts auch fuer windows)

gruss
guddl

[Jester84]

Mhh,
ärgerlich das ganze
der dos2unix konverter funktioniert leider nicht wirklich unter windows
kackt mittendrin ab und für linux kann ich das proggy leider nicht finden,
wahrscheinlich schon garnicht bedienen

Habs mal eben mit dem Ultra Edit versucht aber der pptpd bleibt dabei:
Jan 12 22:25:42 A380 pptpd[18389]: MGR: PPP options file /etc/ppp/pptpd-options^M not readable

Also eben nochmal die Dateibefehle in ne neue Datei unter Linux vi geschrieben und
der Fehler besteht immer noch, kann doch net sein oder?

[Danielx]

Gruml, was kannsch nun tun?

Lass mal deine Config-Dateien hier durchlaufen:

Code: Alles auswählen

tr -d '\r' < Datei1 > Datei2

Das erzeugt eine Kopie von Datei1 unter dem Namen Datei2 und entfernt dabei das \r-Zeichen (das Zeichen aus Windows).
In Datei2 ist dann das Zeichen nicht mehr vorhanden.

[Jester84]

xyzserver:/home/je# tr -d '\r' pptpd-options
tr: zusätzlicher Operand âpptpd-optionsâ
Beim Löschen ohne Verdichten darf nur eine Zeichenkette angegeben werden.
âtr --helpâ gibt weitere Informationen.

Hatte auch eben parallel nochmal die Dateibefehle in ne neue Datei unter Linux vi geschrieben und
der Fehler besteht immer noch, kann doch net sein oder?

Sah dann halt nur so aus: (oder wird das so eh nix?)

name pptpd

refuse-pap
refuse-chap
refuse-mschap

require-mschap-v2
require-mppe-128

ms-dns 192.168.123.5

proxyarp
nodefaultroute

debug

lock

nobsdcomp